Las actualizaciones Ubuntu solucionan varias de las vulnerabilidades fijados por la biblioteca criptográfica OpenSSL
Tres de las vulnerabilidades son marcados como de gravedad "medio" por mantenedores de OpenSSL, ya que podría dar lugar a varios resultados, incluyendo un ataque de tiempo, un ataque de denegación de servicio, y ayudar a que un atacante pudiera recuperar las claves privadas.El fallo (CVE-2016-7056), estaba vinculada al hecho de que OpenSSL no utilizó adecuadamente las operaciones constantes en el tiempo cuando se lleva a cabo de curva elíptica DSA (ECDSA) con una curva P-256 de firma. Debido a esto, al menos en Ubuntu 12.04 LTS y Ubuntu 14.04, un atacante podría haber realizado un ataque de tiempo para recuperar las claves privadas.
Mantenedores de OpenSSL dijeron la semana pasada cuando se empujó a los cambios que el logro de un ataque de ese tipo sería difícil, sin embargo.
"Los análisis sugieren que los ataques contra RSA y DSA, como resultado de este defecto sería muy difícil de realizar y no se cree probable", dijo OpenSSL, "La cantidad de recursos necesarios para tal ataque sería muy significativo y es probable que sólo se puede acceder a un número limitado de atacantes. Un atacante podría necesitar, además, el acceso en línea a un sistema sin parches utilizando la clave privada objetivo en un escenario con los parámetros DH persistentes y una clave privada que se comparte entre varios clientes.
Se descubrió que la biblioteca también manejó mal paquetes truncados, algo que podría haber sido explotado para causar una denegación de servicio. También realiza incorrectamente algo que se llama el procedimiento de la cuadratura x86_64 Montgomery, un componente que también se podría haber aprovechado para robar claves privadas. El problema sólo afecta a los sistemas basados en la arquitectura x86_64, como Ubuntu 16.04 LTS, y Ubuntu 16.10.
El resto de las revisiones fueron relativamente pequeñas patatas y todos marcados de severidad "bajo".
Otra, menos apremiante la (CVE-2016-7055) separada también afectó la manera en OpenSSL maneja Montgomery multiplicación y podría dar lugar a lo que llama "Ubuntu fallos transitorios."
La actualización también corrige un problema en el que utiliza OpenSSL "comportamiento indefinido cuando se realiza la aritmética de punteros", y otra en la que ciertas alertas de advertencia manejados incorrectas. Un atacante remoto podría explotar ambas vulnerabilidades y causar una denegación de servicio, de acuerdo con la asesoría de Ubuntu.
Ubuntu 16.10, Ubuntu, 16.04 LTS, Ubuntu 14.04 LTS de Ubuntu, 12.04 LTS se consideran todas vulnerable bajo actualizada, el asesoramiento advierte.
De acuerdo con el informe de aproximadamente 52.000 servidores Apache HTTPD siguen siendo vulnerables, además de 6.380 dispositivos de Amazon Web Services, y 4.330 aparatos de Verizon Wireless.
La biblioteca de cifrado se utiliza en una gran cantidad de dispositivos y software; le toca a cada proveedor cuando quiere parchear vulnerabilidades.
Cisco emitió un aviso de seguridad en torno a las vulnerabilidades el 30 de enero como muchos de sus productos incorporan los paquetes OpenSSL. La compañía Cisco está afectado por las vulnerabilidades, pero dice que su realización de una investigación de cerca de 200 productos diferentes para determinar la gravedad de las vulnerabilidades.
Fecha actualización el 2017-5-1. Fecha publicación el 2017-5-1. Categoría: Ubuntu. Autor: Oscar olg Mapa del sitio